În scurt : Microsoft France admite că nu poate contesta ordinele americane de acces la date. Cloud Act permite acest lucru, afectând suveranitatea digitală a Franței.
Pe 10 iunie, Microsoft France a fost audiat de comisia de anchetă a Senatului privind costurile și modalitățile efective ale comenzii publice. Reprezentanții companiei, Anton Carniaux (director juridic) și Pierre Lagarde (director tehnic sector public), au încercat să liniștească senatorii cu privire la politica lor de protecție a datelor. Totuși, ei au admis că nu pot contesta un ordin american vizând datele găzduite în țara noastră, o confirmare care pune sub semnul întrebării suveranitatea digitală a Franței.
Cloud Act, promulgat la 23 martie 2018 sub administrația Trump, permite autorităților americane să solicite accesul la datele deținute de companii aflate sub jurisdicție americană, chiar dacă acestea sunt stocate în afara Statelor Unite: Microsoft, ca orice companie americană, trebuie să se conformeze.
"Dacă suntem constrânși, predăm datele"
În timpul audierii, Anton Carniaux a fost întrebat de raportor despre garanția că datele administrațiilor publice franceze, gestionate prin contractele-cadru ale UGAP (Uniunea grupurilor de achiziții publice), nu vor fi niciodată transmise autorităților americane. Acesta a admis că, dacă este emis un ordin judiciar american justificat, Microsoft este legal obligat să predea aceste date.
Cu toate acestea, a ținut să sublinieze că nicio companie europeană sau organism public nu a fost, până în prezent, afectat de o astfel de transmitere de când au fost introduse rapoartele de transparență. Acestea, publicate de Microsoft din 2013, raportează cererile guvernamentale și contestațiile juridice inițiate de companie atunci când cererea este considerată abuzivă sau neconformă.
După reprezentanții Microsoft, comisia a audiat mai mulți oficiali guvernamentali, inclusiv Clara Chappaz, ministru delegat pentru digital, și Agnès Buzyn, fost ministru al Sănătății, în legătură cu Health Data Hub (HDH), găzduit de la crearea sa în 2019 pe Microsoft Azure, în ciuda angajamentului guvernului de a repatria datele pe o platformă europeană până la sfârșitul anului 2022. Ministerul Sănătății și Prevenției a considerat atunci că nu existau soluții europene operaționale alternative.
CNIL și-a exprimat îngrijorările privind riscul transferului de date către Statele Unite din cauza Cloud Act. Mai multe asociații, profesioniști din domeniul sănătății și cercetători au sesizat Consiliul de Stat, considerând că funcționarea Health Data Hub pe Azure încalcă RGPD. Acesta, în articolul 48, interzice în mod explicit transferurile de date personale către autorități străine fără un cadru juridic clar și consensual. În ciuda acestor rezerve, înaltul tribunal a menținut platforma în activitate, datorită rolului său considerat esențial în gestionarea crizei sanitare.
Clara Chappaz a reamintit că legea SREN (Securizarea și Reglementarea Spațiului Digital), adoptată în 2024, impune acum găzduirea datelor sensibile pe infrastructuri care oferă garanții de suveranitate. HDH ar trebui astfel să migreze către un cloud calificat SecNumCloud, excluzându-le pe cele supuse Cloud Act. Un apel de ofertă a fost de altfel lansat pe 1 iulie pentru acest repatriere.